[Was und Warum:]
Administratoren können nun festlegen, welche Benutzer und Gruppen bei aktivierter Just-in-time-Schutzfunktion in Microsoft Purview Endpoint Data Loss Prevention ihre Aktivitäten protokolliert bekommen.
Bislang wurden bei aktivierter Just-in-time-Schutzfunktion Benutzeraktivitäten automatisch für nicht durch Richtlinien erfasste Benutzer protokolliert. Mit diesem Update muss die Audit-Protokollierung explizit konfiguriert werden, sodass nur Benutzer oder Gruppen, die im Prüfungsbereich enthalten sind, protokolliert werden. Diese Änderung ermöglicht Organisationen eine bessere Kontrolle über die Sammlung von Prüfungsdaten und hilft, unnötige Prüfungsgeräusche zu reduzieren.
Diese Nachricht steht im Zusammenhang mit der Microsoft 365 Roadmap-ID 562991.
[Rollout-Zeitplan:]
Global: Die Einführung beginnt Anfang Juli 2026 und wird voraussichtlich bis Anfang Juli 2026 abgeschlossen sein.
[Auswirkungen für Ihre Organisation:]
Betroffene Personen: Administratoren, die Microsoft Purview Endpoint Data Loss Prevention und Just-in-time-Schutz-Einstellungen verwalten.
Plattformen/Dienste:
- Microsoft Purview
- Endpoint Data Loss Prevention
- Activity explorer
Was wird geschehen:
- Das Just-in-time-Audit-Verhalten wird nun über die Einstellung Audit covered user activities unter Einstellungen > Data loss prevention > Just-in-time protection gesteuert. Unter dem Register "Devices" aktivieren Sie Audit covered user activities.
- Benutzer, die im Prüfungsbereich enthalten sind, sehen keine Durchsetzungsmaßnahmen, und ihre Aktivitäten werden im Activity explorer aufgezeichnet.
- Benutzer im Blockierungsbereich werden daran gehindert, Aktionen abzuschließen, während Dateien auf sensible Informationen überprüft werden. Ihre Aktivitäten werden im Activity explorer protokolliert.
- Benutzer, die weder im Prüfungs- noch im Blockierungsbereich enthalten sind, haben keine durch die Just-in-time-Schutzfunktion erfassten Aktivitäten.
- Die protokollierten Aktivitäten umfassen Drucken, Übertragungen auf Wechseldatenträger oder Netzlaufwerke, das Kopieren oder Verschieben von Dateien mittels Remote Desktop Protocol oder einer nicht genehmigten Bluetooth-App sowie das Hochladen von Dateien in eingeschränkte Cloud-Service-Domänen.
Screenshot: Just-in-time-Schutz-Einstellungen mit aktivierter Option Audit covered user activities:
[Erforderliche Maßnahmen / Empfehlungen:]
- Setzen Sie vor der Aktivierung dieser Funktion die Anti-Malware-Clientversion 4.18.26060 oder höher ein.
- Überprüfen Sie Ihre bestehende Just-in-time-Konfiguration, um Benutzer zu identifizieren, die aktuell Audit-Ereignisse erzeugen.
- Fügen Sie explizit alle Benutzer oder Gruppen hinzu, die weiterhin Just-in-time-Audit-Ereignisse generieren sollen, und zwar in den Prüfungsbereich.
- Validieren Sie Ihre Konfiguration, um sicherzustellen, dass erwartete Aktivitäten im Activity explorer angezeigt werden.
Weitere Informationen: Erste Schritte mit Microsoft Purview Data Loss Prevention Just-in-time-Schutz | Microsoft Learn
[Compliance-Überlegungen:]
Audit-Logging-Funktionalitäten: Das Audit-Logging-Verhalten ändert sich von automatisch zu explizit festgelegt, was beeinflusst, welche Benutzeraktivitäten für den Just-in-time-Schutz aufgezeichnet werden.
Compliance-Überwachung und Berichtswesen der Administratoren: Administratoren müssen den Prüfungsbereich konfigurieren, um die erwartete Sichtbarkeit von Benutzeraktivitäten im Activity explorer sicherzustellen.
Purview-Berichterstattung und Compliance-Workflows: Die Änderung beeinflusst, wie Just-in-time-Auditdaten erfasst und für Compliance- sowie Untersuchungs-Workflows überprüft werden.
Admin-Steuerungen und gruppenbasierte Konfiguration: Die Funktion führt zusätzliche Administratoreinstellungen für die Eingrenzung des Audit-Verhaltens ein, die auf Benutzer- oder Gruppenbasis angewendet werden können.
